Недостаточная проверка аргументов в функциях Secure state Entry в программном обеспечении, использующем Cortex-M Security Extensions (CMSE)…
Недостаточная проверка аргументов в функциях Secure state Entry в программном обеспечении, использующем Cortex-M Security Extensions (CMSE), которое было скомпилировано с использованием toolchains, реализующих 'Arm v8-M Security Extensions Requirements on Development Tools' до версии 1.4, позволяет злоумышленнику передавать в Secure state значения, выходящие за пределы диапазона для типов, размер которых меньше 32-бит. Значения, выходящие за пределы диапазона, могут привести к некорректным операциям в secure state.
Продукт не обрабатывает или некорректно обрабатывает ситуацию, когда конкретный элемент не соответствует ожидаемому типу, например ожидается цифра (0–9), а передаётся буква (A–Z).
https://cwe.mitre.org/data/definitions/241.html →Открыть в коллекции CWE →Данная атака основана на клиентском коде, осуществляющем доступ к локальным файлам и ресурсам вместо URL. Когда клиентский браузер ожидает строку URL, но вместо этого получает запрос к локальному файлу, выполнение, вероятно, происходит в пространстве процесса браузера с полномочиями браузера для доступа к локальным файлам. Злоумышленник может отправить результаты этого запроса к локальным файлам на подконтрольный ему ресурс. Данная атака может применяться для кражи конфиденциальных аутентификационных данных (локальных или удалённых) либо для получения информации о профиле системы с целью проведения дальнейших атак.
https://capec.mitre.org/data/definitions/48.html →Открыть в коллекции CAPEC →